Article 17 RGPD : droit à l'effacement en pratique

L’article 17 du RGPD consacre le droit à l’effacement : tu peux demander qu’un organisme supprime les données personnelles qu’il détient sur toi, dans les cas prévus par le règlement. En pratique, demander la suppression de ses données personnelles ou invoquer l’effacement des données passe par des démarches précises. Voici ce qu’il faut savoir.

Qu’est-ce que le droit à l’effacement (article 17) ?

Le droit à l’effacement (parfois appelé « droit à l’oubli » dans le débat public) est le droit de demander au responsable du traitement de supprimer tes données à caractère personnel. Il est défini à l’article 17 du RGPD. Il ne faut pas le confondre avec le déréférencement : le déréférencement concerne les moteurs de recherche (demander à Google de ne plus afficher un lien lorsqu’on tape ton nom), alors que l’effacement vise la suppression des données chez l’organisme qui les traite (site web, courtier en données, etc.).

En France, la CNIL est l’autorité de contrôle ; le RGPD s’applique dans toute l’Union européenne. Tu peux exercer ton droit à l’effacement auprès de tout organisme qui traite tes données et qui est soumis au RGPD.

Dans quels cas peux-tu demander l’effacement ?

Tu peux demander l’effacement de tes données lorsque, notamment : les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ; tu retires ton consentement (et il n’y a pas d’autre base légale) ; tu t’opposes au traitement ; les données ont été traitées de manière illicite ; elles doivent être effacées pour respecter une obligation légale ; ou elles ont été collectées dans le cadre de l’offre de services de la société de l’information auprès d’un mineur.

Certaines exceptions existent (liberté d’expression, motif d’archivage, exercice de droits en justice, etc.) : le responsable peut refuser l’effacement dans ces cas. Pour le quotidien (sites, courtiers, annuaires), les cas d’effacement sont fréquents dès lors que tu retires ton consentement ou que la finalité n’existe plus.

À qui faire la demande et sous quelle forme ?

La demande de suppression de données personnelles ou demande d’effacement doit être adressée au responsable du traitement (l’organisme qui décide des finalités et des moyens du traitement). Beaucoup de sites et de courtiers indiquent une adresse ou un formulaire dédié (DPO, « contact vie privée », « exercer mes droits »). Tu peux envoyer un courrier ou un email en précisant que tu exerces ton droit à l’effacement (article 17 du RGPD) et en indiquant les données ou traitements concernés.

Le responsable doit te répondre sous un mois (délai prolongeable de deux mois pour les demandes complexes). Il peut te demander une preuve d’identité pour s’assurer que la demande vient bien de toi. Tu trouveras des modèles de demandes et des explications sur notre page Supprimer ses données.

Que faire si on te refuse ou ne répond pas ?

Si le responsable refuse ton effacement, il doit te motiver sa réponse et t’informer de ton droit d’introduire une réclamation auprès de la CNIL. Si tu n’as aucune réponse dans le délai d’un mois, tu peux aussi saisir la CNIL. En parallèle, tu peux demander la suppression à la source sur d’autres acteurs (par exemple d’autres courtiers) pour réduire ton empreinte.

Pour centraliser les demandes et éviter de gérer chaque courtier ou site toi-même, tu peux utiliser un service comme le nôtre : après un audit gratuit de ton empreinte (web public, courtiers, fuites), tu choisis ce que tu veux faire effacer et nous envoyons les demandes d’effacement pour toi. On détaille les étapes sur Comment ça marche.

Tu veux savoir où tes données sont détenues et faire effacer ce qui te gêne ? Lance un audit gratuit et reçois un rapport personnalisé.